Le nuove leggi e i nuovi regolamenti sulla cybersicurezza e sulla protezione dei dati – conseguenza dell’aumento delle minacce informatiche e dell’evoluzione tecnologica- chiedono alle aziende un cambio di passo. È necessario applicare un vero e proprio sistema di gestione della sicurezza a 360 gradi e per questo bisogna coinvolgere competenze diverse: tecnologiche, organizzative, gestionali e legali. Il percorso di adeguamento è spesso complesso e interessa tutti, non solo l’area informatica; il Management deve acquisire nuove competenze ed è direttamente responsabile dell’effettiva conformità normativa. Esigenze multidimensionali e multidisciplinari a cui Security Lab SA è in grado di rispondere in modo completo con i suoi team Cyber, Advisory, Virtual Solutions, e-Learning Atelier, Web Design Atelier, insieme ad alcune partnership ad alto valore aggiunto.
Signor Migliavacca, la vostra società si occupa da parecchi anni di cybersecurity. Come ha visto evolvere la gestione della sicurezza informatica?
Security Lab SA è nata 20 anni fa, a Lugano. All’epoca, la nostra principale attività era verificare le infrastrutture informatiche dei clienti, rilevare le vulnerabilità tecnologiche rispetto a possibili attacchi e suggerire come rafforzare le difese. L’imperativo era “proteggersi”, erigere mura forti e invalicabili intorno all’azienda. Per questo nel logo della società ci sono le mura del castello.
Con l’evoluzione delle tecnologie digitali sono anche cambiate le minacce informatiche e la sicurezza è diventata multidimensionale. Inoltre, a seguito dell’enorme diffusione dei dispositivi connessi e della digitalizzazione, i dati personali sono diventati un obiettivo primario degli attacchi informatici: la cybersecurity e la privacy sono sempre più collegate.
Recentemente, il focus si è spostato ancora: non basta proteggersi e cercare di prevenire gli incidenti, è diventato fondamentale essere capaci di reagire agli attacchi, evitando il blocco totale dell’attività, come purtroppo già successo in parecchi casi. Secondo il ripetuto adagio che il problema non è “se” verremo attaccati ma “quando”, la sicurezza si sta concentrando sulla “resilienza”, sulla capacità di rilevare tempestivamente l’attacco, rispondere adeguatamente e ripristinare rapidamente i servizi interrotti.
Qual è stato l’impatto della nuova Legge sulla protezione dei dati sugli investimenti in sicurezza delle aziende?
L’entrata in vigore della nuova Legge federale (Lpd), il 1 settembre 2023, ha obbligato tutte le imprese private a migliorare il livello di sicurezza dei dati trattati; prossimamente, entrerà in vigore la nuova Legge cantonale (Lpdp) e saranno coinvolti anche gli enti pubblici e le organizzazioni con mandato per l’erogazione di servizi pubblici. Noi abbiamo supportato numerosissime organizzazioni nel progetto di adeguamento alla Lpd e altrettante ne stiamo supportando per l’adeguamento alla Lpdp.
Non dimentichiamo però che, in alcuni settori, normative precedenti avevano già stimolato gli investimenti; per esempio, le Circolari Finma sul rischio operativo nel settore finanziario e i nuovi regolamenti sulle misure di sicurezza nel settore sanitario, ferroviario, elettrico e altri ambiti.
E non finisce qui! Di recente, in Europa, sono entrati in vigore il Regolamento sull’intelligenza artificiale (Ai Act) che impone obblighi sia ai fornitori che sviluppano sistemi di intelligenza artificiale sia a tutte le organizzazioni che li utilizzano, il Regolamento Dora per la resilienza operativa digitale delle entità finanziarie e dei loro fornitori Ict, e la Direttiva Nis2 sulla sicurezza delle reti e dei sistemi informatici, rivolta alle organizzazioni dei settori critici e ai loro fornitori. Il coinvolgimento della “catena di fornitura” previsto sia da Dora sia da Nis2 interessa molte organizzazioni ticinesi che dovranno adeguarsi perché richiesto dai loro clienti europei.
In questo nuovo scenario, le organizzazioni ticinesi come si stanno muovendo?
Molto spesso veniamo contattati da organizzazioni che devono adeguarsi all’una o all’altra di queste normative oppure che scelgono di certificarsi ISO 27001 per richieste dei clienti o esigenze di mercato. Di solito, le aziende non dispongono al loro interno di tutte le competenze necessarie. Noi le supportiamo nello svolgimento di una preliminare analisi della situazione presente e nella valutazione dei gap rispetto ai requisiti normativi. Quindi, tenendo conto delle esigenze specifiche dell’organizzazione, dei livelli di rischio e delle capacità di investimento, riusciamo a definire il piano personalizzato delle azioni di adeguamento necessarie, articolato per le diverse aree di gestione della sicurezza: tecnologie, processi, ruoli e responsabilità, formazione, gestione fornitori, servizi cloud… Per ogni realtà viene confezionato un “abito su misura”.
Tenendo conto delle esigenze specifiche dell’organizzazione che deve adeguarsi ai nuovi requisiti normativi, dei livelli di rischio e delle capacità di investimento, definiamo un piano personalizzato delle azioni per le diverse aree di gestione della sicurezza: tecnologie, processi, ruoli e responsabilità, formazione, gestione fornitori, servizi cloud… un “abito su misura”.
Una volta definito il piano delle azioni, come viene realizzato il progetto di adeguamento?
Il progetto viene organizzato creando specifici gruppi di lavoro per area di competenza, assegnando il coordinamento a un responsabile aziendale e prevedendo un periodico allineamento sull’avanzamento con il Management. I nostri consulenti, che assicurano approfondite competenze tecnologiche, organizzative, gestionali e legali, hanno sviluppato alcuni modelli e metodologie allineati ai nuovi framework di riferimento e standard di certificazione (ISO 27001, Csf Nist, Standard minimi Tic, Linee guida Ifpdt, ecc.) che vengono utilizzati nelle varie fasi progettuali, rendendo così il lavoro efficacemente indirizzato ed efficiente in termini di tempo e di impegno del personale dell’azienda.
Quali ambiti sono maggiormente interessati dalle nuove normative?
Le nuove normative danno indicazioni differenti soprattutto perché pongono il focus su ambiti diversi in funzione degli specifici obiettivi, ad esempio la protezione dei dati personali, la continuità operativa, la sicurezza delle terze parti lungo la catena di fornitura, ecc.
In generale, invece, tutte le normative prevedono dei principi fondamentali; tra cui, prioritariamente l’approccio alla sicurezza basato sulla gestione dei livelli di rischio. Pertanto, oltre alla necessità di implementare un adeguato processo di risk management, i progetti più frequenti possono riguardare: la definizione della procedura di gestione degli incidenti e della notifica alle autorità, la predisposizione del piano di business continuity e disaster recovery, lo svolgimento di periodici “vulnerability assessment” e “penetration test”, la gestione contrattuale con i fornitori Ict, la formazione del Management, ed altro ancora.
In conclusione, quale invito vuole trasmettere alle organizzazioni ticinesi?
È ormai chiaro che la sicurezza informatica e la protezione dei dati devono essere gestite in modo strutturato e personalizzato. Molte organizzazioni faticano a realizzare il progetto soltanto con risorse interne; per questo è utile rivolgersi a fornitori qualificati, con competenze multidisciplinari ed esperienza consolidata, costantemente aggiornati sulle novità e con approccio pragmatico e pratico.
Colgo l’occasione per segnalare che approfondiremo questi temi, con maggiori chiarimenti sulle soluzioni e modelli che proponiamo di adottare, durante i nostri due prossimi eventi, organizzati con l’Associazione Industrie Ticinesi (Aiti), il 29 Aprile pomeriggio, e con l’Associazione Ticinese Evoluzione Digitale (Ated), nei mesi successivi. Invitiamo a tenersi aggiornati sul nostro sito (sec-lab.com).
© Riproduzione riservata
Corso Pestalozzi 21A
6900 Lugano
Tel. +41 91 922 59 41